Privacy, GDPR e sanzioni: stop alla tolleranza, via a ispezioni e controlli

Privacy, GDPR e sanzioni: al via ispezioni e controlli. A quasi un anno dalla effettiva entrata in vigore del GDPR, è giunto il momento di fare i conti con i reali rischi di sanzione per tutte le realtà che hanno l’obbligo di conformarsi al regolamento e che fino ad oggi hanno sempre rimandato di adempiere agli obblighi imposti.

Privacy, GDPR e sanzioni: stop alla tolleranza, via a ispezioni e controlli. ANORC, da sempre a fianco di professionisti e imprese nel delicato processo di transizione digitale, si occupa nello specifico delle problematiche relative al trattamento dei dati personali. In particolare affrontando le criticità legate alle gravissime sanzioni cui si va incontro in caso di inadempienza alle disposizioni del Regolamento.

L’art. 22 del Decreto legislativo 10 agosto 2018, n. 101 stabilisce che per i primi 8 mesi dall’entrata in vigore del decreto il Garante, in merito all’applicazione delle sanzioni amministrative, tiene conto della fase di prima applicazione delle disposizioni sanzionatorie, concedendo quindi un periodo di grazia per l’attuazione della sua attività ispettiva.

Una fase di “tolleranza” che cesserà tra poco meno di due settimane. A partire dal 20 maggio 2019, infatti, le aziende e le PA dovranno essere pronte ad adempiere alle disposizioni regolamentarie e sostenere eventuali controlli o ispezioni da parte dell’Autorità che si avvale, ove necessario, della collaborazione di altri organi dello Stato per lo svolgimento dei suoi compiti istituzionali.

Il Colonnello Marco Menegazzo, Comandante del Gruppo Privacy, articolazione dipendente del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza, in un recente convegno, si è soffermato su uno degli illeciti penali elencati nel Titolo III del novellato codice riguardante la “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, disciplinato dall’articolo 168.

Privacy, GDPR e sanzioni

Specificatamente, il primo comma stabilisce che

“nel caso in cui il titolare, durante il corso di un accertamento dinanzi al Garante, dichiari o attesti falsamente notizie o produca atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni.”

Si è fatto riferimento, in particolare e a titolo di esempio, al registro di trattamento. Strumento tenuto dal titolare e, ove applicabile, dal suo responsabile. Che consente di dimostrare non solo le attività eseguite in caso di supervisione da parte del Garante. Ma anche di possedere una “fotografia” aggiornata dei trattamenti sviluppati in azienda o nella PA di appartenenza.

Inteso, quindi, come strumento dinamico e non statico, esso si rivela utile allo stesso titolare. Che dovrà rendere conto, nel rispetto del principio di accountability, delle scelte effettuate (o non effettuate). Motivandole e documentandole, in modo tale che esse siano tracciabili. E messe a disposizione dell’autorità in caso di ispezioni.

Il timore dell’inflizione della sanzione non deve ritenersi l’unico fattore che dovrebbe condurre il titolare al rispetto delle disposizioni in materia. Infatti è opportuno che egli comprenda il nuovo approccio contenuto nel GDPR. Il titolare deve dimostrare, infatti, la sostanza degli adempimenti e non rispettarli formalmente come accadeva in passato. L’adempimento delle richieste normative deve così essere dimostrato e non meramente eseguito.